Wordt Apache Log4J gebruikt door Invantive softwareproducten?

Recent is een securityrisico openbaar gemaakt in Log4J van Apache waarmee ongeautoriseerden kunnen binnendringen in software-omgevingen (kenmerk: CVE-2021-44228). Voor techneuten is het een prachtig voorbeeld van een securityrisico dat klaarblijkelijk tien jaar sluimerde, vergelijkbaar met de oorspronkelijke Morris-worm. Voor gedupeerden een heel vervelende situatie.

Binnen Invantive is een inventarisatie gemaakt of Log4J gebruikt wordt.

Deze pagina wordt tenminste tot 25 december 2021 bijgewerkt indien nieuwe relevante informatie beschikbaar komt.

Invantive producten

Log4J wordt niet gebruikt binnen de Invantive producten die in de markt gebruikt worden. Dit betreft zowel on-premises producten als cloudproducten, inclusief:

  • Invantive Cloud
  • Invantive App Online
  • Invantive Bridge Online
  • Get My Report
  • Valuta Tools
  • Invantive Control for Excel
  • Invantive Composition for Word
  • Invantive Query Tool
  • Invantive Data Hub
  • Invantive Data Loader
  • Invantive Runtime
  • Invantive Data Replicator
  • Invantive Authenticator
  • Invantive Support Assistant
  • Invantive Optimizer
  • Invantive BusinessDrive

Ook voorgaande versies van deze producten gebruikten geen Log4J. Deze producten gebruiken en gebruikten geen Java.

Samengevat: voor zover bekend introduceert dit securityrisico met Log4j geen risico’s bij het gebruik van genoemde Invantive producten.

Intern gebruik

Log4J wordt gebruikt binnen een klein aantal Java-gebaseerde softwareproducten die in een serveromgeving draaien die uitsluitend uitvoerbaar zijn via een afgeschermd netwerk zoals “Apache Ant”. Deze producten hebben geen enkele connectie met de productie-omgevingen en loggen ook niks namens andere componenten. Alhoewel op basis van de bekende exploits misbruik niet mogelijk lijkt zijn deze producten waar mogelijk vervangen.

Voor zover bekend veroorzaakt dit securityrisico met Log4j geen risico’s.

Onderliggende producten

Invantive producten gebruiken naast meegeleverde of verwachte bibliotheken ook onderliggende serverinfrastructuur met ongetwijfeld softwarecomponenten. Het gaat hierbij om diensten van Amazon Web Services. Denk hierbij aan gevirtualiseerde servers op Amazon Web Services (“AWS”) of Amazon CloudFront.

De interne werking en afhankelijkheden van de AWS componenten en onderliggende infrastructuur zijn onbekend. Op basis van informatie vanuit AWS en NCSC wordt in de gaten gehouden of er securityrisico’s zijn.

Op basis van de AWS inventarisatie zijn er in hun onderliggende producten ook geen relevante risico’s onderkend.

Op basis van de informatie bekend op 13 december 2021 is er geen securityrisico.

Daarnaast zijn een aantal ondersteunende diensten gebaseerd op software van derden: JIRA, Spamhero, Office 365 en Discourse. Deze diensten hebben geen koppeling met de infrastructuur die Invantive gebruikt om bedrijfsgegevens te verwerken.

Dubbelgestikt

Op dit moment (13 december 2021) zijn er geen geïdentificeerde securityrisico’s. Mochten die toch nog op basis van nieuwe informatie naar boven komen, dan geldt Invantive gekozen heeft voor “dubbelgestikt” waar het kan: ook als de beveiliging gecompromiteerd is, is er een tweede laag om misbruik moeilijk of onmogelijk te maken. Misbruik wordt hierbij gedefinieerd als:

  • actief misbruik maken van verzamelde gegevens, bijvoorbeeld om geld over te maken (zoals “niet-terugdraaibare financiële transacties”)
  • passief misbruik maken van verzamelde gegevens, bijvoorbeeld om middels een datalek geld te vragen (zoals “tot personen herleidbare informatie”).

Voor alle Invantive producten geldt dat de data waar mogelijk dubbelbeveiligd is: kennis, locatie en bezit. Voor bedrijfsgegevens kunnen caches bijgehouden worden.

De caches met bedrijfsgegevens worden bij Invantive niet opgeslagen in een relationele database van Invantive die - inherent aan het concept - moeilijk te versleutelen is op datalaag.

Voor on-premises geldt beveiliging op basis van kennis (wachtwoord) en locatie/bezit (netwerk/device). Daarnaast worden eventueel gecachte bedrijfsgegevens versleuteld in rust opgeslagen. Deze versleuteling is uiteraard wel reversible.

Voor online producten geldt beveiliging op basis van kennis (wachtwoord) en meestal locatie. De ervaring leert dat veel gebruikers om te kunnen werken met de Microsoft Power BI Service de locatiebeveiliging uitschakelen en terugvallen naar enkelvoudige authenticatie.

Voor de online producten geldt net zoals bij on-premises dat de caches in rust versleuteld zijn opgeslagen, zodat een ongeautoriseerde die via andere routes toegang krijgen tot de data ze niet eenvoudig kunnen gebruiken.

Voor meer informatie over Invantive Cloud raadpleeg Invantive Cloud Structure.